Uno de nuestros colegas ejecutó un escaneo de Qualys en un producto de uso interno y descubrió que el producto todavía usa certificados de 1024 bits para que sus módulos se comuniquen entre sí. El proveedor dice que este problema se tratará en una versión futura (unos meses como mínimo).
Leí algunos enlaces ( Preguntas frecuentes de Symantec y una publicación de blog muy informativa ) sobre los riesgos.
Dado que el producto se utiliza en una red privada, opino que no debemos preocuparnos mucho por la emisión del certificado. Es menos probable que un pirata informático esté al tanto de tal producto a menos que sea un experto. El certificado débil puede llevar definitivamente a un conjunto de cifrado filtrado y, a su vez, filtrar toda la comunicación. No lo negaría. Mi postura depende de la suposición de que el atacante no tiene acceso a la red interna.
Me gustaría saber de la comunidad cuáles son los otros escenarios que no estoy considerando aquí.